Ny personvernlov i Norge – GDPR – hva betyr det for OUS?

Fra og med 20. juli trer EUs personvernforordning (GDPR – General Data Protection Regulation) i kraft i Norge. Hva betyr dette for hvordan vi i OUS behandler personopplysninger?  

Mye av det vi er kjent med fra tidligere vil videreføres i ny lov, samtidig som at innføringen av GDPR betyr at man på noen områder skal styrke det som allerede er på plass i dag og på andre områder skal tenke nytt. Det betyr en styrking av individets rettigheter. Og det betyr strengere krav til sykehuset som skal ivareta disse. Det betyr at ansvaret for dette arbeidet i større grad flyttes til den enkelte virksomhet, som må ha internkontroll og tilgjengelig oversikt over hvordan personopplysninger behandles. Dette omfatter hva som gir det lovlige grunnlaget for at vi har opplysningene, hvor de er lagret og hvordan de er sikret.

Nytt er også kravet om innebygget personvern, og personvern som standardinnstilling. Dette betyr tydelige krav til planlegging, utvikling, testing, implementering og terminering av tekniske løsninger.

Størrelsen på gebyret Datatilsynet kan ilegge ved overtredelse kan også være vesentlig større enn før.

Hvordan jobber vi i OUS med innføringen av GDPR?

Ved Oslo universitetssykehus behandler vi store mengder sensitive personopplysninger. Vi har arbeidet jevnlig over lengre tid med å sikre oppfølging av personvern og informasjonssikkerhet i sykehuset. Det er etablert føringer i e-håndboken for hvordan krav til informasjonssikkerhet og rettigheter til den enkelte skal ivaretas, e-læringsprogram som alle må gjennomføre årlig, revisjoner, risikovurderinger og avvikshåndtering.

Både den enkelte ansatte og ledelse har ansvar for å sikre at personvern og informasjonssikkerhet blir ivaretatt når sykehuset behandler personopplysninger, og er dermed sykehusets viktigste ressurser for å ivareta også ny personvernlovgivning på en dekkende måte.

Det har blitt utpekt en arbeidsgruppe som skal se på hva som gjøres i dag, gi anbefalinger og foreslå tiltak der det er behov for tilpasning til ny lov. Gruppa skal levere en tiltaksrapport i begynnelsen av september som så vil oversendes for styrebehandling. Et viktig mål er også å sikre at prosedyrene er forenlig med arbeidshverdagen. På den måten vil rutinene oppfattes som nyttige og vil dermed la seg etterleve.

Vi har allerede gjort mye, som vi vil styrke og videreføre, samtidig som vi tilpasser alt vi har gjort til den nye loven:

  • Årlig sykehusomfattende revisjon er allerede på plass.
  • Et godt system for risikovurdering har vi.
  • Oversikt over databehandlinger har vi skaffet oss.
  • Informasjon til brukere er et sentralt tema i ny personopplysningslov. Informasjon er lagt inn i papirbrev som sendes pasientene ved innkalling, og den ligger ute på sykehusets websider. Vi går gjennom denne informasjonen for å sikre best mulig tilgjengelighet når det gjelder både tekst og søkemuligheter.
  • Vi går gjennom styringssystem for informasjonssikkerhet og personvern og oppdaterer dem.
  • Med det store volum av ansatte, innleide personer og studenter som Oslo universitetssykehus er ansvarlig for, vil det alltid være en utfordring å sikre at alle disse kjenner reglene og forholder seg til disse. Bevisstgjøring og jevnlig opplæring er derfor viktig.

I tillegg er det noen nye ting i den nye loven som vi må jobbe med:

  • Innebygd personvern, et begrep som innebærer at krav til personvern er gjennomtenkt for tekniske løsninger og applikasjoner helt fra kravsett og design, til koding, test, produksjonssetting og drift, må dokumenteres for løsninger utviklet i egen regi, løsninger som allerede er kjøpt inn og løsninger som skal kjøpes inn i fremtiden.
  • Personvern som standardinnstilling innebærer at den mest personvernvennlige innstilling skal velges i alle løsninger. Sykehuspartner vil måtte hjelpe oss med å påse det.
  • For alle databehandlinger må det etter den nye loven gjennomføres en egen vurdering av personvernkonsekvenser. Dette vil på mange områder allerede være ivaretatt. Konsekvensvurderingene vil være mest krevende i forbindelse med forskning. Det vil arbeides med å finne en håndteringsmåte som sikrer en mest mulig smidig gjennomføring av konsekvensvurderingene.

Hva får vi ut av dette arbeidet?

Det arbeidet som gjøres bør kunne øke tryggheten både for at vi etterlever krav og i måten ledere forholder seg til kravene på. Det vil kunne gjøre jobbing med personvern mer ressurseffektivt og senke risikoen for brudd på regelverket. Samtidig vil innføringen av GDPR kunne medføre økte kostnader til IKT-leveranser og mer omfattende administrativt og operativt arbeid for å sørge for at foretaket er i tråd med regelverket.

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut /  Endre )

Google-bilde

Du kommenterer med bruk av din Google konto. Logg ut /  Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut /  Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut /  Endre )

Kobler til %s

Blogg på WordPress.com.

opp ↑

%d bloggere like this: